Prilex: malware brasileño para puntos de venta evoluciona hacia el robo de datos de tarjetas protegidas por chip y PIN
No es novedad que después de cada ataque los cibercriminales se reinventen para llegar a una mayor cantidad de víctimas. Desde el comienzo, América Latina ha sido un terreno fértil para el fraude relacionado a tarjetas de crédito y débito, con grupos criminales evolucionando en sus técnicas de ataque hasta enfocarse en sistemas de punto de venta y las numerosas transacciones que son realizadas día a día.
Durante la 10°Cumbre Global de Analista de Seguridad que se está celebrando en Cancún, los investigadores de Kaspersky Lab divulgaron que la primera aparición relevante del grupo Prilex estuvo relacionada con un ataque a cajeros automáticos que buscaba bancos ubicados, principalmente en territorio brasileño. En ese momento, los criminales usaban un dispositivo de caja negra configurado con un módem USB 4G para controlar remotamente la máquina. Al abrir una puerta trasera para el atacante, ellos tenían la posibilidad de secuestrar la conexión inalámbrica de la institución y controlar otros cajeros automáticos a su voluntad.
Con el paso del tiempo, el grupo detrás del malware Prilex ha migrado sus esfuerzos hacia los sistemas de punto de venta desarrollados por proveedores brasileños, utilizando la información robada de tarjetas de crédito para permitir la creación de una nueva totalmente funcional, habilitada inclusive para transacciones protegidas con la medida de seguridad conocida como ‘chip y PIN’. Todo esto le permite al criminal realizar transacciones fraudulentas en cualquier tienda, ya sea en línea o fuera de línea.
«Estamos lidiando con un nuevo tipo de malware que ofrece soporte para los criminales en sus operaciones, todo con una interfaz gráfica de usuario y modelos específicamente diseñados para crear diferentes estructuras de tarjetas de crédito. Mientras que la clonación de tarjetas protegidas por chip y PIN es algo que ya ha sido discutido en el pasado, encontramos que vale la pena compartir con la comunidad la información de Prilex y su modelo de negocios ya que estos ataques se están volviendo más fáciles de realizar y el estándar EMV no ha podido estar a la par de los criminales», explica Thiago Marques, analista de seguridad de Kaspersky Lab.
La tarjeta de crédito clonada funciona en cualquier sistema de punto de venta en Brasil debido a una implementación incorrecta del estándar EMV (especificación creada por Europay, MasterCard y Visa, para pagos electrónicos seguros de débito y crédito), donde no todos los datos son verificados durante el proceso de aprobación. Aunque estos ataques han ocurrido en el pasado, hasta el momento, es la primera vez que un conjunto tan completo de funciones se encuentra en ese ámbito, sobre todo dirigido a comerciantes brasileños. Todo el proceso que implica el robo de la información hasta la creación de la tarjeta falsa es tomado en cuenta por Prilex, de forma fácil y directa.
Actualmente, la evidencia de la investigación indica que el malware se está distribuyendo a través de un mensaje de correo convencional que, convence a las víctimas a descargar una actualización de un servidor remoto – el cual es controlado por los criminales. Las víctimas suelen ser tiendas tradicionales, como gasolineras, supermercados y mercados típicos de venta al por menor; y, todas ellas, ubicadas en diferentes estados de Brasil.
Santiago Pontiroli, analista de seguridad de Kaspersky Lab, comenta: «Es interesante ver cómo la responsabilidad de un incidente de fraude se ha ido traspasando entre los diferentes responsables a lo largo de los años, pasando del cliente a los comerciantes y luego al banco. En realidad, el cliente siempre es a quien le toca lidiar con la peor parte de la historia».
Cómo funciona el ataque
Para tener una idea, hay tres componentes que forman parte del Prilex: un malware que modifica el sistema del punto de venta e intercepta la información de las tarjetas de crédito; un servidor utilizado para administrar la información obtenida ilegalmente; y una aplicación de usuario que el «cliente» del malware utiliza para ver, clonar o guardar estadísticas relacionadas a las tarjetas.
El malware fue desarrollado con el objetivo de leer cierta información de las tarjetas de crédito y débito procesadas por el punto de venta, para luego así utilizar esta información y generar nuevas tarjetas que serán utilizadas en transacciones fraudulentas. La novedad de este malware radica en su modelo de negocios en donde todas las necesidades del usuario son tomadas en cuenta, ofreciendo una interfaz simple y amigable para la operación delictiva. Además, Prilex permite la generación de tarjetas con chip y PIN, las cuales son útiles en cualquier tipo de operación de compra de bienes y servicios en diferentes comercios.
La evolución de su código, aunque no es técnicamente notable, fue aparentemente suficiente para mantener un flujo de ingresos constante, permitiendo perfeccionar lentamente su modelo de negocios. El análisis de «Daphne», un módulo para hacer uso de la información financiera adquirida ilícitamente y su esquema de afiliados sugiere que éste es un grupo «orientado al cliente», con muchos niveles en su cadena de desarrollo; parecido a lo que se vio, por ejemplo, en el popular malware Ploutus y otras amenazas financieras regionales.
El equipo detrás del desarrollo de Prilex, muestra rastros de actividad desde al menos el año 2014. El grupo mostró ser altamente versátil con el objetivo principal de atacar usuarios e instituciones brasileñas. Además, la preferencia por el sector financiero o minorista refuerza la creencia de que la principal motivación detrás de sus campañas tiene un fin monetario.
«Esta modularización, tanto en su código fuente como en el modelo de negocios, coloca a Prilex como una seria amenaza para el sector financiero, actualmente confinado al territorio de Brasil con la incógnita de cuánto tardará antes de expandir sus operaciones a otras regiones», enfatiza Marques.
Fraude en números
En este momento, es posible suponer que casi todas las credenciales de los usuarios y/o la información de sus tarjetas fueron comprometidas en algún momento. El mercado ilegal relacionado al tráfico de información del usuario ha madurado tanto que es muy difícil diferenciarla de una economía legítima. De todos los titulares de tarjetas -débito, crédito y prepago- 30% sufrió fraude en los últimos cinco años, lo que representa una parte significativa.
En 2016, México obtuvo el título de ‘campeón’ del fraude en tarjetas de crédito, con 56% de sus habitantes que aseguran haber sufrido este tipo de fraude en los últimos 5 años. Brasil ocupa el segundo lugar (49%) y, en tercer lugar, Estados Unidos (47%). Aproximadamente 65% de las veces, el fraude de tarjeta de crédito da lugar a una pérdida financiera directa o indirecta para la víctima. Estas pérdidas individuales varían ampliamente, pero en 2014, la pérdida promedio (tanto directa como indirecta) reportada por incidencia de fraude fue de $300 dólares; ahora la pérdida promedio reportada fue de $1,343 dólares.
En cuanto a los fraudes de tarjetas de débito, el ranking cambió un poco: México tuvo la mayor tasa de fraude con 34%, seguida por Brasil (25%), India (23%) y Francia (22%), de acuerdo con el 2016 Global Consumer Card Fraud: Where Card Fraud Is, ACI Universal Payments.
«Afortunadamente, los bancos y operadores en Brasil están invirtiendo más en tecnologías para mejorar sus sistemas y evitar fraudes, permitiendo identificar esas técnicas y negar las transacciones sospechosas. Sin embargo, algunos países de América Latina no han evolucionado con la suficiente rapidez en términos de tecnologías para protección de transacciones con tarjetas de crédito y débito, dejando inclusive una gran cantidad de puntos de venta funcionar con medidas de seguridad obsoletas», concluye Pontiroli.